Bug Bounty-Programme sind bei Anbietern von Internet-Diensten inzwischen hinlänglich verbreitet - nun halten sie auch Einzug in andere Industrien, in denen die Sicherheit von IT-Systemen eine wichtige Rolle spielt. Eines der ersten Unternehmen ist hier die Fluggesellschaft United Airlines.
Als einer der größten Anbieter von Flugreisen bietet das Unternehmen Hackern und Sicherheitsexperten für gefundene und gemeldete Sicherheits-Lücken zwar keine finanzielle Belohnung an, wohl aber Bonus-Meilen. Dies gilt nicht nur für die Web-Dienste und Apps, die von United Airlines angeboten werden, sondern auch für Software von Drittherstellern, die in verschiedenen Bereichen eingesetzt wird.
Gänzlich hat sich die Fluggesellschaft für die Bug Bounty-Idee aber noch nicht geöffnet. Wer auf die Idee kommt, aktuelle On-Bord-Systeme - darunter fällt auch das Entertainment-System in den Flugzeugen - auf Sicherheitslücken zu untersuchen, kann nicht mit einer Belohnung rechnen. Wird man bei einer solchen Aktivität ertappt, ist unweigerlich eine Strafanzeige die Folge.
Wer in Anwendungen, die untersucht werden dürfen, Sicherheitslücken findet, bekommt Belohnungen, die von der Art des Problems abhängen. Für eine Cross-Site-Scripting-Lücke auf einer Webseite gibt es beispielsweise 50.000 Bonusmeilen. Können durch den Fehler persönliche Daten von Kunden offenbart oder Logins umgangen werden, lässt United Airlines 250.000 Meilen springen. Immerhin eine Million Meilen werden für eine Lücke gutgeschrieben, mit der fremder Code in die Server eingeschleust werden kann.
Damit Meilen-Jäger allerdings nicht übermütig werden, wurden den Untersuchungen Grenzen gesetzt. Wer versucht, Code in Live-Systeme einzuschleusen oder diese mit Brute-Force- oder DoS-Attacken anzugreifen, ist raus. Gleiches gilt natürlich für Mitarbeiter des Unternehmens oder von Herstellern der betroffenen Software.
